Eu só quero que os usuários VPN acessem a internet via meu IP WAN, então gostaria de bloquear tudo o mais.
Posso bloquear o tráfego para todas as outras VLANs LAN se criar uma regra de descarte em LAN_OUT com uma fonte da sub-rede VPN e destino de sub-redes RFC1918.
Mas isso ainda permite que os usuários VPN acessem o próprio gateway.
Para as VLANs LAN, funciona se colocar uma regra de DROP em LAN_LOCAL com um destino de GatewayIPs, mas não funciona para os clientes VPN L2TP/Teleport.
Alguém conseguiu resolver isso?
Olá! Obrigado por postar no r/Ubiquiti!
Este subreddit está aqui para fornecer suporte técnico não oficial para pessoas que usam ou querem mergulhar no mundo dos produtos Ubiquiti. Se você ainda não foi detalhado na sua postagem, reserve um tempo para editar e adicionar o máximo de detalhes úteis possível.
Por favor, leia e entenda as regras na barra lateral, pois postagens e comentários que as violem serão removidos. Coloque todas as postagens fora do tópico na thread semanal de tópicos diversos, que está fixada no topo do subreddit.
Se você vir pessoas espalhando desinformação, tentando enganar outros, ou outro comportamento inadequado, por favor, denuncie!
Sou um bot, e esta ação foi realizada automaticamente. Por favor, contate os moderadores deste subreddit se tiver alguma dúvida ou preocupação.
u/mactelecomnetworks Vi assistido seus vídeos e parece que é algo que você saberia. Pode me ajudar.
Enviei um ticket de suporte com a Unifi. A resposta deles atualmente:
Olá,
Reportamos este problema à nossa equipe de Produto, e eles estão trabalhando nele na parte de trás. Entraremos em contato se precisarmos de mais informações.
Se ainda estiver tendo problemas, ou se tiver dúvidas ou preocupações adicionais, sinta-se à vontade para responder a esta mensagem diretamente.
Atenciosamente,
Suporte UI
Ubiquiti Inc.
Você está atribuindo os clientes a uma VLAN que possui a regra de DROP LAN_LOCAL que você descreveu?
Na mesma situação, o que acho uma falha de segurança grave, na minha opinião. Alguém conseguiu resolver isso? u/mactelecomnetworks
Configuração -
Wireguard e bloqueando as portas de conexão 80, 443 & 22 para o gateway.
Então, você não consegue… Isso foi mencionado por mim à Ubiquiti há algum tempo, quando fiz meu vídeo sobre regras de firewall para VPNs. Não tenho certeza se há algo em andamento para consertar.
Só acreditarei quando ver…
Acredito que sim, esta é a regra que tenho que não está funcionando.
O grupo de IPs do Teleport está configurado como: 192.168.2.0/24
https://imgur.com/a/80K08f2
ohhhh… que pena. De qualquer forma, obrigado pela resposta.
u/duminduweera você conseguiu resolver isso? Estou na mesma situação e tentando descobrir como bloquear o acesso ao próprio gateway a partir dos clientes VPN. Na verdade, estou com o firmware EAP 3.x mais recente e conectando via wireguard. Parece ser o mesmo problema. cc: u/mactelecomnetworks
Até hoje, com OpenVPN, ainda não foi resolvido!
ainda esperando isso com wireguard 